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В данной статье рассмотрена немаловажная проблема, которая возникла около пятнадцати лет назад — 
бот-сети (ботнеты, зомби-сети) и о возможном способе борьбы с этой проблемой, которую до сих пор 
очень сильно недооценивают до тех пор, пока не происходит утечка ценной информации с фирмы, не 
пропадают деньги с банковских карточек и прочие неприятности. Предложен для рассмотрения алгоритм 
системы управления автоматическим распознаванием реального пользователя и компьютерной программы. 
Ключевые слова: бот-сеть, бот, зомби-сети, кража информации, кибершантаж, алгоритм. 


1 55 рарег Фе та]ог ргоет па етегое4 або а Чесаае аго - фе БотеЕ (Бопе5, хотЫе пеёмогК$) ап4 
а роз Ые уау © 4еа| \й 15 ргоМет, \мсьЬ 15 5ИП уегу шисб оуеооКе4 аз 10п$ аз Ше |еаКазе оЁ 
уашае шогтаНоп у’ е Ёп, по 1034 топеу \ИВ БапК саг4$ ап4 офег точ ез. Ргорозе4 ап а1>огИт 
{0 а44гез$ тапазетепе зузет оРашютайс гесоэт оп оЁ Фе асша| изег ап Фе сотриег ргоэтат. 

Кеу \огд$: Ботеб, Боь Ботеф даа Фей, субег Маскта!, а[оогит. 


У дан статт! розглянута важлива проблема, яка виникла близько п’ятнадцяти рокв тому — бот-мереж! 
(ботнети, зомб1-мереж!) та про можливий спос1б боротьби з шею проблемою, яку дос! дуже сильно 
недоощнюють до тих шр, поки не вдбуваеться витйк шнно! 1нформацй з фирми, не пропадають гроши з 
банквських карток та 1нш! неприемност!. Запропонований для розгляду алгоритм системи управлння 
автоматичного розшзнавання реального користувача 1 комп’ютерно! програми. 

Ключов! слова: бот-мережа, бот, зомб1-мережу, краджка 1нформацй, кбер-шантаж, 
алгоритм. 


Введение 


Бот-сеть (англ. Боте! от горо! и пейлогК) — это компьютерная сеть, состоящая из 
некоторого количества хостов, с запущенными ботами — автономным программным 
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обеспечением. Простейшая структура ботнета представлена на рис. 1. Чаще всего бот в 
составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы 
и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов 
заражённого компьютера. Обычно используются для рассылки спама, перебора паролей 
на удалённой системе, атак на отказ в обслуживании [2]. 

Бот-сеть является одним из прекрасных вариантов кибероружия с большими вы- 
числительными возможностями, а также является замечательным способом анонимно 
заработать деньги. Организатор данной сети может управлять зараженными компьюте- 
рами в сети из любой точки планеты, при этом, фактически не рискуя быть обнаружен- 
ным. Владельцы своих компьютеров зачастую не подозревают о том, что они заражены 
и используются злоумышленниками, находятся под контролем третьих лиц. Такие 
зомби-машины входят в многомиллионные бот-сети. 
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<3>—— 


> 18 С-сервер 
Зараженная 
машина < 


>> 


Зараженная ен 
машина Е “ Атакующий 
и 
Ро 
Зараженная ра 


машина < 


Рисунок 1 — Простая структура бот-сети 


Ботнет может использоваться для самых разнообразных целей [1]: от обычной 
рассылки спама до атак на государственные сети. Коротко рассмотрим варианты 
использования бот-сетей: 

1) рассылка спама. По подсчетам экспертов приблизительно 80% спама рассы- 
лается как раз при помощи бот-сетей. Среднестатистический спамер зарабатывает 
приблизительно 50 — 100 тысяч долларов в год на таких сетях. Бот-сети, предназначен- 
ные для рассылки спама, также могут собирать адреса электронной почты на заражен- 
ных машинах; 

2) кибершантаж. Один из самых широко применяемых способов использова- 
ния ботнета — проведение широкомасштабных О)оЗ-атак (от англ. Рёифишей ета! 
оф бегусе — распределённая атака типа «отказ в обслуживании»). В ходе такой атаки 
с зомби-компьютеров на сервер посылается большой поток ложных запросов до тех 
пор, пока сервер не будет перегружен и станет не доступен пользователям, после 
чего владельцы бот-сети требуют выкуп за остановку атаки на сервер. Так как удач- 
ное ведение современного бизнеса не возможно без работы в интернете, владельцы 
сайта быстрее согласятся выплатить выкуп, чем обратятся в правоохранительные органы; 

3) анонимный доступ в Сеть. Данный вариант использования бот-сети позво- 
ляет злоумышленникам от имени зараженных компьютеров осуществлять взлом сайтов, 
кражу денег с банковских счетов и т.д; 
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4) продажа и аренда бот-сетей. При помощи такого варианта владельцы бот- 
сетей также нелегально могут зарабатывать деньги; 

5) фишинг (англ. ри5йте, от Изйтя — рыбная ловля, выуживание — вид интернет- 
мошенничества, целью которого является получение доступа к конфиденциальным 
данным пользователей — логинам и паролям). Бот-сеть позволяет фишерам быстро 
менять адрес фишинговой страницы, используя зараженные машины в качестве прокси- 
серверов, и при этом скрывать реальный адрес страницы; 

6) кража конфиденциальных данных. Данный вид использования бот-сети по- 
зволяет красть всевозможные данные пользователей, которые потом перепродаются 
или используются для массового заражения веб-страниц с целью расширения бот- 
сети. 

Целью данной работы является разработка алгоритма системы управления 
автоматическим распознаванием реального пользователя и компьютерной програм- 
мы, который направлен на борьбу с бот-сетями. 


Алгоритмы системы управления автоматическим 
распознаванием реального пользователя 
и компьютерной программы 


Система управления автоматическим распознаванием реального пользователя 
и компьютерной программы предназначена для того, чтобы избежать кражи, потери 
информации, потери финансов и имиджа фирмы, а также многих других неприятных 
факторов. Структура данной системы представлена на рис. 2, где рассматривается 
вариант атаки сети ботнетом. При входе сигнала х в систему управления происходит 
одновременный мониторинг сети Пиегпе и компьютера (управляющее устройство) 
при помощи программного обеспечения и технических средств контроля (исполни- 
тельный механизм), которые анализируют входной сигнал. Обнаружение атаки ботнета 
(объект управления) этими системами влечет за собой сигнализацию программными и 
техническими средствами, блокировку ботов, а затем поиск и блокировку центра 
ботнета. 


Мониторинг 
сети 


Мониторинг == | Технические 
компьютера | _ средства 


Рисунок 2 — Система управления автоматическим распознаванием реального 
пользователя и компьютерной программы 


Система управления автоматическим распознаванием реального пользователя 
и компьютерной программы осуществляет двухуровневую защиту: с одной стороны 
на программном и техническом уровне, а с другой — мониторинг сети Интернет и 
рабочих машин с целью дальнейшего обнаружения и частичной или полной ликви- 
дации бот-сети. 
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На рис. 3 представлен алгоритм работы предложенной системы. 
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Рисунок 3— Алгоритм работы системы управления автоматическим 
распознаванием реального пользователя и компьютерной программы 


Рассмотрим более подробно данный алгоритм, начиная с алгоритма монито- 
ринга рабочей машины (блок 2 на рис. 2) в двух случаях: 

1) появление нового или измененного файла (рис. 4); 

2) начало работы нового процесса (и этот процесс не был включен администра- 
тором системы в список разрешенных) (рис. 5). 

Кроме существующих составляющих для этой системы предлагаются алгорит- 
мы работы вспомогательных подсистем, которые позволят не только максимально 
возможно защитить работы организации (сайта), но и обнаружить источник негатив- 
ного воздействия, а именно: 

1) алгоритм для программного обеспечения, которое будет взаимодействовать 
с аппаратными средствами для сбора и анализа статистики входного траффика; 

2) алгоритм для системы обнаружения командного центра бот-сети. 

Обнаружение бот-сетей в первую очередь основано на анализе сетевого трафика. 
Совокупная информация об аномальных изменениях объемов входящего и выходя- 
щего трафика дает четкую картину о попытках нарушить работу, осуществить кражу 
информации и прочих воздействий на систему. Следовательно, алгоритм для сбора и 
анализа статистки входного трафика является важной составляющей всей системы. 
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Рисунок 4 — Алгоритм мониторинга рабочей машины (в случае появления 
нового или измененного файла) 
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Рисунок 5 — Алгоритм работы мониторинга рабочей машины (в случае 
появления нового процесса) 


Нейтрализация источника негативного воздействия на работу организации так 
же является немаловажной задачей, потому что попытки нарушения работы могут 
быть неоднократными, а на борьбу с действием бот-сети требуются много ресурсов 
и времени. Алгоритм системы обнаружения командного центра бот-сети представ- 


лен на рис. 6. 
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Данный метод обнаружения основан на том, что хост может находиться в одном 
из трёх состояний — либо легитимный [ВС-клиент, либо бот, находящийся в со- 
стоянии ожидания команды, либо бот в состоянии атаки. Каждому из этих состояний 
соответствуют специфические значения средней длины пакета и частоты пересылки 
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Сбор и анализ статистики входного ПЕ р 
трафика (сбор ТВ С-пакетов) _____ЖС-клиент в состоянйи— __ 
жидания/активный 
у + 
Определение параметров передачи а 
У 
Дизассемблирование кода бота | 
и Определение состояния хоста (В С- 
клиента) у 
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контроль 
У 
Пропуск пакетов Активация команды на 
самоликвидацию ботов 
Рисунок 6 — Алгоритм обнаружения командного центра бот-сети 
Выводы 


Анализируя сегодняшнюю ситуацию развития кибер-преступности, можно прийти 
к выводам, что бот-сети являются одной из самых доходных сфер, а также, что 
злоумышленники вряд ли сами откажутся от подобного вида заработков, и, в свою 
очередь, вряд ли исчезнет конкуренция в сфере бизнеса, где сохранность инфор- 
мации и стабильность работы веб-сайтов является залогом успешного функциониро- 
вания предприятий и фирм, а также государственных сетей. Хотя эксперты и предуп- 
реждают об опасности, которую несут развитие бот-сетей, большинство владельцев 
бизнеса, государство отказываются предпринимать какие-либо меры по защите от них 
до тех пор, пока не сталкиваются с подобной проблемой, а зомби-сети все продол- 
жают и продолжают развиваться. 

В результате проведенной работы был разработан алгоритм системы управле- 
ния автоматическим распознаванием реального пользователя и компьютерной про- 
граммы. Дальнейшие исследования будут направлены на моделирование данной си- 
стемы для изучения эффективности алгоритма. 
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тапаоетеп{ амоютайс гесооп оп оЁ 1е геа| изег ап4 а сотриег ргоогат. 

Апа|у7те Фе сиггепе $ПааНоп ог суБег-стите, И сап Бе сопсГа4де4 Фа Фе Бопе{ 15 
опе оЁ Ше п1о5Е ргоаЫ Е агеаз, аз уме аз фа Ше айасКегз етзеуез Баг у слуе ир 1$ 
фуре о еаги1п5$ ап4, ш иги, 15 НКе]у © 41зарреаг ш фе сотрейНоп Бизтез$, \Теге Фе 
зесигйу оЁ шппаНоп апа фе за БИ оЁ Фе \еБ 15 Ше Кеу №0 Ше $иссе$$ оР сотрашез 
ап4 ещегризез, аз \меП аз рибИс пебмогК$. \/ВИе Фе ехрем5 аге \’атише оЁ Фе дапоег$ 
розе4 Бу е 4еуе!ортепй оЁ Боте!5, поз Базшез$ омтегз, 1е соуегитепЕ гейлзе4 0 
{аКе апу $%ерз №0 ргоесЕ Фет аз 1012 аз 4о пой асе Ше зате рго ет, Баё Фе тотЫе 
пебуо!К 20е$ оп ап сопйпие 1ю деуе]ор. 

А$ а гезий: оЁ {15 УотК Ваз Бееп 4еуе|оре4 а1еотИ т сопго| ащютайс тесооп оп 
ог Фе геа| изег ап а сотрщег ргоотат. Еайег гезеагсВ УЛИ Юси$ оп то4дейие фе 
зузет {0 за4у Фе еЙесйуепез$ оЁ 1е а|еогИт. 
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